Troyano se hace pasar por buscador de MP3 de Google

Troyano se hace pasar por buscador de MP3 de Google

Por Sergio de los Santos (*)
ssantos@videosoft.net.uy

Un nuevo troyano, al principio no identificado por ningún
antivirus, se hace pasar por un nuevo servicio de Google
capaz de buscar rápidamente música en formato MP3. El
troyano, una vez logra infectar un sistema Windows, busca
todas las contraseñas del ordenador y, junto con una captura
de pantalla del sistema, lo envía a una dirección de correo.

Bajo el reclamo de ser una nueva herramienta de búsqueda
avalada por Google, "Google MP3 Search" se esconde bajo
algunos dominios tales como http:://google-mp3search.com y
similares, alojando un pequeño programa que roba contraseñas
y en ninguna forma relacionado realmente con Google.

En la página, y con un estilo similar a las que usaría el
famoso buscador, se describe una nueva herramienta y es
comparada con las "incómodas" formas tradicionales de
búsqueda de música en formato MP3. Para disfrutar de ella, es
necesario descargar un pequeño programa llamado mp3search.exe
con el que se promete un 99.9% de éxito de búsqueda de MP3
legítimos y libre de virus. Nada más lejos de la realidad.

Una vez ejecutada la aplicación en un sistema operativo de
Microsoft, el usuario no observará ninguna ventana ni
programa "visual" ejecutándose, mientras que en bambalinas,
el programa recopilará contraseñas y las almacenará en el
archivo c:\pass.bin. Como dato curioso, también crea un
archivo en formato GIF con una captura de pantalla
(screen.gif). Estos dos archivos son enviados (y
posteriormente eliminados) a la dirección de correo
krustevs@googlemail.com usando para ello un script PHP
(mail3.php) alojado en la dirección unknown.ord.scnet.net

El hecho de que utilice Internet Explorer a través del
tradicional puerto 80 para alcanzar su objetivo (el script
PHP y así poder enviar la información fuera del ordenador
infectado) es especialmente ingenioso. Gracias a ello, el
troyano elude la mayor parte de los cortafuegos que pudiesen
estar instalados en los sistemas, pues la inmensa mayoría
permitirá por defecto que el navegador acceda a páginas a
través del puerto 80, y así el usuario no será alertado de
ninguna conexión fuera de lo común (ni siquiera abrirá una
instancia del navegador).

Esta precaución de su autor, unido a que ningún antivirus
reconoce el troyano a día de hoy, y añadiendo el reclamo de
la búsqueda de música MP3 avalada por Google, hacen de este
troyano especialmente peligroso hasta el momento para
usuarios Windows.

Según Virustotal.com, sistema de Hispasec que permite
analizar un mismo archivo con múltiples antivirus, sólo
"Fortinet" en su versión 2.36.0.0 del 28 de julio, sospechaba
del archivo searchmp3.exe sin llegar a identificarlo como
virus. El resto no encontró nada raro en su interior. Esto
puede hacer pensar a los usuarios que la herramienta es
legítima, pero cabe recordar que el hecho de que un antivirus
no alerte de un archivo en un momento dado no garantiza en
absoluto que no suponga una amenaza para los datos del
ordenador que lo ejecuta.

El dominio google-mp3search.com solo lleva algunas semanas
registrado, y puede se accedido a través de avipreview.com,
página de un conocido programa para visualizar vídeos
incompletos. El dominio ha sido publicado (sin duda por sus
autores) en diferentes foros alemanes para intentar infectar
al mayor número de incautos.

Hispasec Sistemas (www.hispasec.com) ha colaborado en el
análisis de este nuevo troyano.

Saludos

Re: Troyano se hace pasar por buscador de MP3 de Google

Hola Wenassssss!!!!!!!!!!




Gracias Por El Avisoooo!!!